CN113407925A - 应用系统与iam系统之间的无应用改造对接方法及系统 - Google Patents
应用系统与iam系统之间的无应用改造对接方法及系统 Download PDFInfo
- Publication number
- CN113407925A CN113407925A CN202110656039.9A CN202110656039A CN113407925A CN 113407925 A CN113407925 A CN 113407925A CN 202110656039 A CN202110656039 A CN 202110656039A CN 113407925 A CN113407925 A CN 113407925A
- Authority
- CN
- China
- Prior art keywords
- application system
- data
- authority
- page
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
Abstract
本发明公开了一种应用系统与IAM系统之间的无应用改造对接方法及系统。本发明采用的无应用改造对接方法为:首先进行应用系统权限抓取,采集应用界面分层页面;然后对抓取到的应用系统页面进行分析整理,建立与IAM系统对接的API接口和应用系统页面之间的对应关系;最后实现应用系统与IAM系统的权限对接和数据交互。本发明可减少IAM身份权限体系建设成本,提升建设效果,实现了在不对应用系统进行开发改造的同时,使IAM获得对应用系统的精细权限控制。
Description
技术领域
本发明涉及网络安全身份认证领域,尤其涉及一种用于应用系统与IAM系统之间的无应用改造对接方法及系统。
背景技术
随着信息技术的不断发展,国内外信息安全与信息泄露事故频发,不断上升的黑客攻击、勒索、网络钓鱼和恶意软件攻击严重威胁到了企业信息资产的安全,使企业遭受巨大的经济损失。除外部攻击外,内部人员的“参与”将进一步增加事件发生的可能性和影响程度,如赋予员工或承包商超过其职责所需的访问权限时,容易产生敏感数据泄露的风险。因此,企业越来越重视对“人”的风险识别和控制。成熟的IAM体系可以通过确保在整个组织中一致地应用用户访问规则和策略来增加企业对信息资产的保护、解决企业的身份权限管理需求,以及应对合规和安全要求。
但企业在部署IAM系统时,往往会发现已存的应用系统对接困难,已存应用系统的权限控制模块无法达到基于IAM的精细化权限控制要求,需要大量的开发改造工作,但较早期应用系统开发改造困难,部分系统维护团队甚至源代码已无处寻匿,基于以上原因让IAM体系无法真正落实,大大削弱了IAM体系的功效。
为了解决上述问题,本发明结合数据采集、数据清洗、数据分析、机器学习的技术,对应用系统与IAM体系的权限对接进行了深度的研究。
发明内容
本发明所要解决的技术问题是现有建设完成的应用系统改造困难、投入较大,导致IAM体系无法正常发挥精细化权限控制功能,提供一种用于应用系统与IAM系统之间的无应用改造的权限对接方法及系统,以减少IAM身份权限体系建设成本,提升建设效果,以实现在不对应用系统进行开发改造的同时,使IAM获得对应用系统的精细权限控制。
为此,本发明通过以下技术方案来实现:应用系统与IAM系统之间的无应用改造对接方法,其包括:
步骤1),进行应用系统权限抓取,采集应用界面分层页面;具体过程如下:
步骤11),获取目标应用系统数据集;
步骤12),向目标应用系统发送携带账号密码的模拟登陆数据包,获取到返回的cookie;
步骤13),将获取到的cookie导入页面爬取程序,对目标应用系统进行页面爬取,将爬取到的页面数据发送到消息总线;
步骤14),数据存储节点从消息总线中获取数据,并存储入数据库;
步骤2),对抓取到的应用系统页面进行分析整理,建立与IAM系统对接API接口和应用系统页面之间的对应关系;具体过程如下:
步骤21),提取步骤14)数据库中的数据,基于预设规则进行分类和标注;
步骤22),将步骤21)中分类和标注的结果解析后的字段添加上时间戳,并建立索引存入数据库;
步骤23),从步骤22)数据库取得应用系统页面信息,依据预设权限信息建立应用系统页面与API接口对应关系;
步骤3),实现应用系统与IAM系统的权限对接和数据交互,具体过程如下:
步骤31),接收对纳管范围内应用系统的用户访问请求时,重定向到IAM的Portal认证页;
步骤32),接受到带认证ticket的重定向后,对IAM系统发起ticket验证请求;
步骤33),获得ticket认证结果后,根据ticket获取第三方应用账号的权限信息;
步骤34),用户登录门户后采取POST方法获取该用户的应用授权列表;
步骤35),依据授权信息与步骤21)分类、标注数据进行比对,完成对应用系统的单页面允许/拒绝通信操作。
进一步地,步骤11)中,所述的目标应用系统数据集包括目标应用系统地址及最高权限账号密码。
进一步地,步骤21)中,基于预设规则对数据进行分类,分为权限登录界面数据、功能模块界面数据和系统管理界面数据。
本发明采用的另一种技术方案为:应用系统与IAM系统之间的无应用改造对接系统,该系统包括应用系统权限抓取模块、权限代理模块和权限对接模块;
所述应用系统权限抓取模块模块,用于应用系统权限抓取,采集应用界面分层页面;具体内容为:
向应用系统权限抓取模块输入目标应用数据集;所述应用系统权限抓取模块对目标应用系统发送携带账号密码的模拟登陆数据包,获取到返回的cookie;然后将获取到的cookie导入页面爬取程序,对目标应用系统进行页面爬取,将爬取到的页面数据发送到消息总线;数据存储节点从消息总线中消费数据,并存储入库;
所述权限代理模块,用于对抓取到的应用系统页面进行分析整理,建立与IAM对接的API接口与应用系统页面之间的对应关系;具体内容为:
所述权限代理模块提取应用系统权限抓取模块获得的数据,基于预设规则进行分类和标注;然后将分类和标注的结果解析后的字段添加上时间戳,并建立索引入库;从数据库取得应用系统页面信息,依据预设权限信息建立应用系统页面与API接口对应关系;
所述权限对接模块,用于实现应用系统与IAM系统的权限对接和数据交互;具体内容为:
所述权限对接模块接收对纳管范围内应用系统的用户访问请求时,重定向到IAM的Portal认证页;收取到带认证ticket的重定向后,对IAM发起ticket验证请求;获得ticket认证结果后,根据ticket获取第三方应用账号的权限信息;在用户登录门户后采取POST方法获取该用户的应用授权列表;依据授权信息与权限代理模块分类标注数据进行比对,完成对应用系统的单页面允许/拒绝通信操作。
进一步地,应用系统权限抓取模块模块中,所述的目标应用系统数据集包括目标应用系统地址及最高权限账号密码。
进一步地,所述权限代理模块中,基于预设规则对数据进行分类,分为权限登录界面数据、功能模块界面数据和系统管理界面数据。
本发明具有如下的有益效果:本发明解决了现有建设完成的应用系统改造困难、投入较大,导致IAM体系无法正常发挥精细化权限控制功能的问题,可减少IAM身份权限体系建设成本,提升建设效果,实现了在不对应用系统进行开发改造的同时,使IAM获得对应用系统的精细权限控制。
附图说明
图1为本发明应用系统与IAM系统之间的无应用改造对接系统的结构框图。
具体实施方式
以下结合说明书附图和实施例对本发明作进一步详细说明。
实施例1
如图1所示,本实施例提供一种用于应用系统与IAM系统之间的无应用改造对接方法,该方法的具体步骤如下:
(1)进行应用系统权限抓取,采集应用界面分层页面;具体过程如下:
(1.1)获取目标应用数据集,该数据集包括目标应用系统地址及最高权限账号密码;
(1.2)向目标应用系统发送携带账号密码的模拟登陆数据包,获取到返回的cookie;
(1.3)将获取到的cookie导入页面爬取程序对目标应用系统进行页面爬取,将爬取到的页面数据发送到消息总线;
(1.4)数据存储节点从消息总线中消费数据,并存储入库。
(2)对抓取到的应用系统页面进行分析整理,建立与IAM系统对接API接口和应用系统页面之间的对应关系;具体过程如下:
(2.1)提取步骤(1)获得的数据,基于预设规则进行分类、标注。
如分为权限登录界面、功能模块界面、系统管理界面等。
(2.2)将步骤(2.1)中分类、标注的结果解析后的字段添加上时间戳并建立索引入库;
(2.3)从数据库取得应用系统页面信息,依据预设权限信息建立应用系统页面与API接口对应关系。
(3)实现应用系统与IAM系统进行权限对接和数据交互;具体过程如下:
(3.1)接收对纳管范围内应用系统的用户访问请求时,重定向到IAM的Portal认证页;
(3.2)接受到带认证ticket的重定向后,对iam发起ticket验证请求;
(3.3)获得ticket认证结果后,根据ticket获取第三方应用账号的权限信息;
(3.4)用户登录门户后采取POST方法获取该用户的应用授权列表;
(3.5)依据授权信息与步骤(2.1)分类、标注数据进行比对,完成对应用系统的单页面允许/拒绝通信操作。
实施例2
本实施例提供一种用于应用系统与IAM系统之间的无应用改造对接系统,该系统包括应用系统权限抓取模块、权限代理模块和权限对接模块。
所述应用系统权限抓取模块模块用于发现应用系统,采集应用界面分层页面;具体实现过程为:向应用系统权限抓取模块输入目标应用数据集,该数据集包括目标应用系统地址及最高权限账号密码;所述应用系统权限抓取模块对目标应用系统发送携带账号密码的模拟登陆数据包,获取到返回的cookie;然后将获取到的cookie导入页面爬取程序对目标应用系统进行页面爬取,将爬取到的页面数据发送到消息总线;数据存储节点从消息总线中消费数据,并存储入库。
所述权限代理模块用于对抓取到的应用系统页面进行分析整理,建立与IAM对接API接口与应用系统页面之间的对应关系;具体过程为:所述权限代理模块提取应用系统权限抓取模块获得的数据,基于预设规则进行分类、标注。然后将分类、标注的结果解析后的字段添加上时间戳并建立索引入库;从数据库取得应用系统页面信息,依据预设权限信息建立应用系统页面与API接口对应关系。
所述权限对接模块用于实现应用系统与IAM系统进行权限对接和数据交互;具体过程为:所述权限对接模块接收对纳管范围内应用系统的用户访问请求时,重定向到IAM的Portal认证页;收取到带认证ticket的重定向后,对iam发起ticket验证请求;获得ticket认证结果后,根据ticket获取第三方应用账号的权限信息;在用户登录门户后采取POST方法获取该用户的应用授权列表;依据授权信息与权限代理模块分类标注数据进行比对,完成对应用系统的单页面允许/拒绝通信操作。
上述实施例用来解释说明本发明,而不是对本发明进行限制,在本发明的精神和权利要求的保护范围内,对本发明作出的任何修改和改变,都落入本发明的保护范围。
Claims (6)
1.应用系统与IAM系统之间的无应用改造对接方法,其特征在于,包括:
步骤1),进行应用系统权限抓取,采集应用界面分层页面;具体过程如下:
步骤11),获取目标应用系统数据集;
步骤12),向目标应用系统发送携带账号密码的模拟登陆数据包,获取到返回的cookie;
步骤13),将获取到的cookie导入页面爬取程序,对目标应用系统进行页面爬取,将爬取到的页面数据发送到消息总线;
步骤14),数据存储节点从消息总线中获取数据,并存储入数据库;
步骤2),对抓取到的应用系统页面进行分析整理,建立与IAM系统对接API接口和应用系统页面之间的对应关系;具体过程如下:
步骤21),提取步骤14)数据库中的数据,基于预设规则进行分类和标注;
步骤22),将步骤21)中分类和标注的结果解析后的字段添加上时间戳,并建立索引存入数据库;
步骤23),从步骤22)数据库取得应用系统页面信息,依据预设权限信息建立应用系统页面与API接口对应关系;
步骤3),实现应用系统与IAM系统的权限对接和数据交互,具体过程如下:
步骤31),接收对纳管范围内应用系统的用户访问请求时,重定向到IAM的Portal认证页;
步骤32),接受到带认证ticket的重定向后,对IAM系统发起ticket验证请求;
步骤33),获得ticket认证结果后,根据ticket获取第三方应用账号的权限信息;
步骤34),用户登录门户后采取POST方法获取该用户的应用授权列表;
步骤35),依据授权信息与步骤21)分类、标注数据进行比对,完成对应用系统的单页面允许/拒绝通信操作。
2.根据权利要求1所述的应用系统与IAM系统之间的无应用改造对接方法,其特征在于,步骤11)中,所述的目标应用系统数据集包括目标应用系统地址及最高权限账号密码。
3.根据权利要求1所述的应用系统与IAM系统之间的无应用改造对接方法,其特征在于,步骤21)中,基于预设规则对数据进行分类,分为权限登录界面数据、功能模块界面数据和系统管理界面数据。
4.应用系统与IAM系统之间的无应用改造对接系统,其特征在于,该系统包括应用系统权限抓取模块、权限代理模块和权限对接模块;
所述应用系统权限抓取模块模块,用于应用系统权限抓取,采集应用界面分层页面;具体内容为:
向应用系统权限抓取模块输入目标应用数据集;所述应用系统权限抓取模块对目标应用系统发送携带账号密码的模拟登陆数据包,获取到返回的cookie;然后将获取到的cookie导入页面爬取程序,对目标应用系统进行页面爬取,将爬取到的页面数据发送到消息总线;数据存储节点从消息总线中获取数据,并存储入库;
所述权限代理模块,用于对抓取到的应用系统页面进行分析整理,建立与IAM对接的API接口与应用系统页面之间的对应关系;具体内容为:
所述权限代理模块提取应用系统权限抓取模块获得的数据,基于预设规则进行分类和标注;然后将分类和标注的结果解析后的字段添加上时间戳,并建立索引入库;从数据库取得应用系统页面信息,依据预设权限信息建立应用系统页面与API接口对应关系;
所述权限对接模块,用于实现应用系统与IAM系统的权限对接和数据交互;具体内容为:
所述权限对接模块接收对纳管范围内应用系统的用户访问请求时,重定向到IAM的Portal认证页;收取到带认证ticket的重定向后,对IAM发起ticket验证请求;获得ticket认证结果后,根据ticket获取第三方应用账号的权限信息;在用户登录门户后采取POST方法获取该用户的应用授权列表;依据授权信息与权限代理模块分类标注数据进行比对,完成对应用系统的单页面允许/拒绝通信操作。
5.根据权利要求1所述的应用系统与IAM系统之间的无应用改造对接系统,其特征在于,应用系统权限抓取模块模块中,所述的目标应用系统数据集包括目标应用系统地址及最高权限账号密码。
6.根据权利要求1所述的应用系统与IAM系统之间的无应用改造对接系统,其特征在于,所述权限代理模块中,基于预设规则对数据进行分类,分为权限登录界面数据、功能模块界面数据和系统管理界面数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110656039.9A CN113407925B (zh) | 2021-06-11 | 2021-06-11 | 应用系统与iam系统之间的无应用改造对接方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110656039.9A CN113407925B (zh) | 2021-06-11 | 2021-06-11 | 应用系统与iam系统之间的无应用改造对接方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113407925A true CN113407925A (zh) | 2021-09-17 |
| CN113407925B CN113407925B (zh) | 2022-05-17 |
Family
ID=77683679
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110656039.9A Active CN113407925B (zh) | 2021-06-11 | 2021-06-11 | 应用系统与iam系统之间的无应用改造对接方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113407925B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100251340A1 (en) * | 2009-03-27 | 2010-09-30 | Wavemarket, Inc. | System and method for managing third party application program access to user information via a native application program interface (api) |
| CN105574640A (zh) * | 2015-09-25 | 2016-05-11 | 国网浙江省电力公司 | 一种对应用进行统一综合管理平台建设的方法 |
| CN107332840A (zh) * | 2017-06-28 | 2017-11-07 | 中国南方电网有限责任公司超高压输电公司检修试验中心 | 权限智能管理系统及其方法 |
| CN110895493A (zh) * | 2019-11-29 | 2020-03-20 | 宜人恒业科技发展(北京)有限公司 | 一种访问应用程序接口的方法、装置及存储介质 |
| CN111414562A (zh) * | 2020-02-26 | 2020-07-14 | 平安普惠企业管理有限公司 | 应用程序页面api接口前置方法、装置及存储介质 |
| CN111950001A (zh) * | 2020-07-31 | 2020-11-17 | 银盛支付服务股份有限公司 | 一种基于app中h5应用的权限控制方法及系统 |
| CN112702346A (zh) * | 2020-12-24 | 2021-04-23 | 国网浙江省电力有限公司电力科学研究院 | 基于联盟链的分布式身份认证方法及系统 |
| CN112749400A (zh) * | 2020-12-31 | 2021-05-04 | 韩浩 | 一种面向业务的数据安全治理系统及方法 |
| CN112825516A (zh) * | 2019-11-21 | 2021-05-21 | 广州凡科互联网科技股份有限公司 | 一种基于ticket的多系统统一登录方法 |
-
2021
- 2021-06-11 CN CN202110656039.9A patent/CN113407925B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100251340A1 (en) * | 2009-03-27 | 2010-09-30 | Wavemarket, Inc. | System and method for managing third party application program access to user information via a native application program interface (api) |
| CN105574640A (zh) * | 2015-09-25 | 2016-05-11 | 国网浙江省电力公司 | 一种对应用进行统一综合管理平台建设的方法 |
| CN107332840A (zh) * | 2017-06-28 | 2017-11-07 | 中国南方电网有限责任公司超高压输电公司检修试验中心 | 权限智能管理系统及其方法 |
| CN112825516A (zh) * | 2019-11-21 | 2021-05-21 | 广州凡科互联网科技股份有限公司 | 一种基于ticket的多系统统一登录方法 |
| CN110895493A (zh) * | 2019-11-29 | 2020-03-20 | 宜人恒业科技发展(北京)有限公司 | 一种访问应用程序接口的方法、装置及存储介质 |
| CN111414562A (zh) * | 2020-02-26 | 2020-07-14 | 平安普惠企业管理有限公司 | 应用程序页面api接口前置方法、装置及存储介质 |
| CN111950001A (zh) * | 2020-07-31 | 2020-11-17 | 银盛支付服务股份有限公司 | 一种基于app中h5应用的权限控制方法及系统 |
| CN112702346A (zh) * | 2020-12-24 | 2021-04-23 | 国网浙江省电力有限公司电力科学研究院 | 基于联盟链的分布式身份认证方法及系统 |
| CN112749400A (zh) * | 2020-12-31 | 2021-05-04 | 韩浩 | 一种面向业务的数据安全治理系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113407925B (zh) | 2022-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10721245B2 (en) | Method and device for automatically verifying security event | |
| CN106330919A (zh) | 一种运维安全审计方法及系统 | |
| CN105897782A (zh) | 一种针对接口的调用请求的处理方法及装置 | |
| CN101034983A (zh) | 一种对网络接入用户实现上网实名的系统及其方法 | |
| CN102394885A (zh) | 基于数据流的信息分类防护自动化核查方法 | |
| CN106549909B (zh) | 一种授权验证方法及设备 | |
| CN114679292B (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| CN113438249B (zh) | 一种基于策略的攻击溯源方法 | |
| CN111597173A (zh) | 一种数据仓库系统 | |
| CN106817342A (zh) | 基于用户行为特征识别的主动身份认证系统 | |
| CN108696540A (zh) | 一种授权安全系统及其授权方法 | |
| CN113407925B (zh) | 应用系统与iam系统之间的无应用改造对接方法及系统 | |
| CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
| CN109446807A (zh) | 用于识别拦截恶意机器人的方法、装置以及电子设备 | |
| CN111711637A (zh) | 一种网络通讯技术的提升安全保障系统 | |
| CN111740973A (zh) | 一种区块链服务与应用的智能防御系统及方法 | |
| CN114006735B (zh) | 一种数据保护方法、装置、计算机设备和存储介质 | |
| CN110958236A (zh) | 基于风险因子洞察的运维审计系统动态授权方法 | |
| CN108933678A (zh) | 运维审计系统 | |
| CN113612748A (zh) | 一种基于区块链的权限管理方法及系统 | |
| CN111835692B (zh) | 一种信息管理分发系统和方法 | |
| CN105224834A (zh) | 移动网络中基于角色的访问控制的系统及方法 | |
| CN108632050B (zh) | 一种记录网站访问日志的方法和装置 | |
| KR20160141465A (ko) | 개인정보보호관리체계 위험평가 시스템 | |
| CN111767575A (zh) | 数据防爬方法、装置、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |